Apache Tomcat プロジェクトは 6月29日、Tomcat 11/10/9 の各 security advisory ページで複数の脆弱性を一斉に公開しました。報告は 6月14日から 6月17日にかけて Tomcat セキュリティチームへ寄せられ、パッチを反映した新バージョン公開と同時に詳細が開示されています。認証回避や RCE につながるものが含まれており、運用環境での迅速なアップグレードが推奨されます。
主なポイント
- JNDIRealm + GSSAPI の認証回避: GSSAPI バインド構成時にパスワード無しで認証成功してしまう不具合 (6月14日報告)
- DefaultServlet 経由の RCE / 情報漏洩: 書き込み有効化された DefaultServlet の構成で、リモートコード実行や情報漏洩につながる挙動 (6月15日報告)
- EncryptInterceptor のリプレイ攻撃耐性欠如: ドキュメントに反し、リプレイ攻撃に対して保護されていなかった (6月17日報告)
- 同時に複数の SNI/ホスト名検証バイパスや効果的 web.xml 生成のロジック不備、FFM コネクタの CRL 無視も公開
- 11 系利用者は 11.0.20 系以降の最新パッチ版へのアップグレードが必要 (11.0.19 のリリース投票は不通過)
出典: Apache Tomcat 11 Security Vulnerabilities - Apache Software Foundation